溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本小結重點講解一下iptables的顯示擴展規則設置
顯示擴展:必須顯式地指明使用的擴展模塊進行擴展;
使用幫助:
Centos 6:man Iptables
Centos 7:man iptables-extensions
實驗1:
multiport擴展
以離散的方式定義多端口匹配;最多指定15個端口;
[!]--source-ports,--sports port,port,....:指定多個源端口;
[!]--destination-ports,--dports port,port....:指定多個目標端口
[!]--ports port ,port...:指明多個端口,不管是源端口還是目標端口都匹配
允許192.168.32.163這臺主機訪問本機的22,80端口
iptables -A INPUT -s 192.168.32.163 -d 192.168.32.144 -p tcp -m multiport --dports 22,80 -j ACCEPT
實驗2:
iprange擴展
指明連續的(但一般不能是整個網絡)ip地址范圍;
[!]--src-rang from[-to]:源IP地址;
[!]--dst-rang from[-to]:目標IP地址;
172.16.100.5主機到172.16.100.10主機不能訪問本機的web服務
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 80 -m iprange --src-range 172.16.100.5-172.16.100.10 -j DROP
實驗3:
string擴展
對報文中的應用層數據做字符串模式匹配檢測;
--algo{bm|kmp}:字符串匹配檢測算法;
bm:Boyer-Moore
kmp:Knuth-Pratt_Morrls
[!]--string patter:要檢測的字符串模式;
[!]--hex-string patter:要檢測的字符創模式,16進制格式;
限制192.168.32.163訪問本機web網頁中含有have內容的網頁。
必須定義到OUTPUT中因為請求的報文中是不帶需要限制的字符串的,只有響應的報文中才帶有需要限制的字符串
iptables -A OUTPUT -s 192.168.32.144 -d 192.168.32.163 -p tcp --sport 80 -m string --algo bm --string "have" -j REJECT
在本機安裝web服務,并創建兩個頁面,其中一個含有have字符串,
初始狀態防火墻未做任何規則
此時客戶端可以正常訪問web服務器
添加防火墻規則
iptables -A OUTPUT -s 192.168.32.144 -d 192.168.32.163 -p tcp --sport 80 -m string --algo bm --string "have" -j REJECT
含有have字段的網頁不能夠訪問
實驗4:
time擴展
根據將報文到達時間與指定的時間范圍進行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestart 1970-01-01T00:00:00
--datestop 2030-01-19T04:17:07
--timestart hh:mm[:ss]
--timestop hh:mm[:ss]
[!]--monthdays day[,day]
Possible values are 1 to 31.
[!]--weekdays day[,day]
Possible values are Mon,Tue,Wed,Thu,Fri,Sat,Sun
--kerneltz:使用內核上的時區,而非默認的UTC;
定義本機的web服務在每周末下午的14:30到18:30不允許192.168.32.145主機訪問
iptables -A INPUT -s 192.168.32.163 -d 192.168.32.144 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP
未使用time擴展設置防火墻規則時客戶端可以正常網站
客戶端可以正常訪問web服務
添加time擴展訪問規則
實驗5:
connlimit擴展
根據每客戶端IP做并發連接數量匹配;
--connlimit-upto n:連接的數量小于等于n時匹配;
--connlimit-above n:連接的數量大于n時匹配;
我們要求每個客戶端IP最多能夠連接兩個
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 21 -m connlimit --connlimit-above 2 -j REJECT
實驗6:
limit擴展
基于收發報文的速率做匹配;
令牌桶過濾器:
--limit rate[/second | /minute| /hour| /day]
--limit-burst number
每分鐘只允許其它主機對本主機進行ping操作三次,峰值最大為5
iptables -I INPUT -d 192.168.32.144 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT 滿足條件執行放行策略
iptables -I INPUT 2 -p icmp -j REJECT 加一條拒絕規則
設置規則之前:
添加規則:
實驗7:
state擴展
根據“連接追蹤機制”去檢查連接的狀態;跟TCP協議沒有關系
如何判斷從本機發出的一個連接是對別人請求的響應還是自己發起的請求?
可以通過本機記錄的conntrack追蹤結果,在有效時間內,可以查看到每個對本機的請求連接跟本機反饋的結果的之間的對應關系
conntrack機制:追蹤本機上的請求和響應之間關系;狀態有如下幾種;
NEW:新發出請求;連接追蹤模板中不存在此連接的信息條目,因此,將其識別為第一次發出的請求;
ESTABLISHED:NEW狀態之后,連接追蹤模板中為其建立的條目失效之前期間內所進行的通信狀態;
RELATED:相關聯的連接;如ftp協議中的命令連接與書籍之間的關系;
INVALID:無效的連接;
UNTRACKEN:為進行追蹤的連接;
正常情況下,服務器是不會通過80端口主動發起連接請求,22號端口正常情況下也是不會主動發起連接請求
允許NEW請求連接進來
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 80 -m state --state NEW -j ACCEPT
INPUT鏈放行NEW,ESTABLISHED
iptables -A INPUT -d 192.168.32.144 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
OUTPUT鏈放行ESTABLISHED
iptables -A OUTPUT -s 192.168.32.144 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT
更改默認策略全部為DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
客戶端可以正常訪問:
調整連接追蹤功能所能容納的最大連接數量:
/proc/sys/net/nf_contrack_max
已經追蹤到的并記錄下來的連接:
/proc/net/nf_conntrack
不同的協議的連續追蹤時長
/proc/sys/net/netfilter/
iptables的鏈接跟蹤最大容量為/proc/sys/net/ipv4/ip_conntrack_max,鏈接碰到各種狀態的超時后就會從表中刪除;當模板滿載時,后續的連接可能會超時
解決方法一般有兩個:
(1)加大nf_conntrack_max值
vim /etc/sysctl.conf
net.ipv4.nf_conntrack_max=393216
net.ipv4.netfilter.nf_conntrack_max=393216
(2)降低nf_conntrack timeout時間
vim /etc/sysctl.conf
net.ipv4.netfilter.nf_conntrack_tcp_timeout_established=300
net.ipv4.netfilter.nf_conntrack_tcp_timeout_time_wait=120
net.ipv4.netfilter.nf_conntrack_tcp_timeout_close_wait=60
net.ipv4.netfilter.nf_conntrack_tcp_timeout_fin_wait=120
實驗8:
如何開放被動模式的ftp
ftp主動鏈接模式。客戶端發起請求連接服務器21號端口,服務器端進程會通過本機的20號端口主動去連接客戶端隨機端口+1的端口(新數據請求),客戶端有可能存在防火墻,
ftp被動連接模式。客戶端請服務器發起數據下載請求,服務器端隨機使用一個端口響應,
服務器端判斷數據連接是不是與此前的某個命令連接有關聯關系, 只要數據連與此前的命令連接有關聯關系,防火墻就放行,不從端口放行,以轉態為標準。
先復制一個文件到/var/ftp/pub
cp /etc/issue /var/ftp/pub/
防火墻初始狀態:
因為要使用遠程連接功能,所以放行了22號端口
客戶端使用lftp連接發現連接失敗
手動記載連接追蹤的模塊
modprobe nf_conntrack_ftp
設置防火墻規則放行命令連接:
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.32.144 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
放行數據連接:
iptables -A INPUT -d 192.168.32.144 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.32.144 -p tcp -m state --state ESTABLISHED -j ACCEPT
此時繼續訪問可以看到
實驗9:
規則優化:
服務器規則優化設定:任何不允許的訪問,應該在請求到達時給予拒絕;
(1)可安全放行所有入站的狀態為ESTABLISHED狀態連接;
(2)可安全放行所有出站的狀態為ESTABLISHED狀態連接;
(3)謹慎放行入站的新請求;
(4)有特殊目的的限制訪問功能,要于芳心規則之前加以決絕;
iptables -I INPUT -d 192.168.32.144 -m state --state ESTABLISHED -j ACCEPT
iptables -I INPUT 2 -d 192.168.32.144 -p tcp -m multiport --dport 21,22,80 -m state --state NEW -j ACCEPT
iptables -I INPUT 3 -d 192.168.32.144 -p tcp -m state --state RELATED -j ACCEPT
iptables -D INPUT 4
iptables -D INPUT 4
iptables -D INPUT 4
出站規則設定
iptables -I OUTPUT -s 192.168.32.144 -m state --state ESTABLISHED -j ACCEPT
iptables -D OUTPUT 2
iptables -D OUTPUT 2
iptables -D OUTPUT 2
限制掉web服務反饋的請求中含有have的頁面
iptables -I OUTPUT -m string --algo kmp --string "have" -j REJECT
備注:其實在前端的web服務異常繁忙的服務器上的使用state連接追蹤功能是不明智的,在講到集群負載的時候我們將重點討論這個問題
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
